NRI Secure SANS NewsBites 日本版

Vol.12 No.24 2017年8月18日発行

■■SANS NewsBites Vol.19 No.062, 063
(原版: 2017年8月8日、11日)


┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
 好┃評┃受┃付┃中┃ 毎回満員御礼の人気コースや日本初開催コースなど
 ━┛━┛━┛━┛━┛ 今秋、全10コースを開催予定!

           = SANS Tokyo Autumn 2017 =
  https://sans-japan.jp/sans_tokyo_autumn2017/index.html

【10月開催第一弾】2017年10月16日~21日[6日間]/ 2017年10月16日~20日[5日間] 
  << 早期割引は 9月1日までです。お早めにお申し込みください >>

◆SEC401:Security Essentials Bootcamp Style
     最もポピュラーな情報セキュリティのゴールド・スタンダード
     情報セキュリティ・ネットワークに関する基本的知識を有している方は
必見です

◆SEC511:Continuous Monitoring and Security Operations
     持続的な監視へのパラダイムシフト
     リアルタイムなインシデント検知、防御戦略が習得可能

◆SEC542:Web App Penetration Testing and Ethical Hacking
     Webアプリの脆弱性を発見し、分析、修正できるスキルを習得
     最終日のCTFでご自身の成果測定も行えます!

◆FOR610:Reverse-Engineering Malware:Malware Analysis Tools and Techniques
    マルウェア解析の基本的なツールとテクニックを効率的に習得
    マルウェア解析の専門性を高めたい方は必見のコースです

◆FOR578:Cyber Threat Intelligence
     インテリジェンスで武装したインシデントレスポンスを求める方に
     攻撃者に関するナレッジの収集・分析そして共有のノウハウを学びます

━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━

【10月開催第二弾】2017年10月23日~28日[6日間] / 2017年10月23日~27日[5日間]
   << 早期割引は 9月8日までです。お早めにお申し込みください >>

◆SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
     ペンテスター、インシデントハンドラーへの登竜門
ハッカーの攻撃手法を体験し、実践的防御スキルを完全習得

◆SEC560:Network Penetration Testing and Ethical Hacking
     すべてのペンテスターの通過点
侵害を受ける前に、自システムをテストする最良の方法を習得可能!

◆FOR508:Advanced Digital Forensics,Incident Response,and Threat Hunting
     フォレンジックの達人たちも大絶賛!
     フォレンジックトレーニングの最高峰がまた東京に

◆FOR572:Advanced Network Forensics and Analysis ★日本初開催★
     あなたのフォレンジック知識をネットワークへ
     効率的で効果的な事後インシデント対応調査のために必要な
     最もクリティカルなスキルを網羅しているコースです

◆SEC566:Implementing and Auditing
       the Critical Security Controls In-Depth
     Critical Security Controlsを真に理解するならこのコース
     CSCの実装や監査に必要となるツールやテクニックを習得できます

━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━ ━

また、2018年2月にも9コース程開催予定です。今からご検討ください。
https://sans-japan.jp/secure_japan2018/index.html

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
◆ NISTの分析官:我々のセキュリティガイダンスは間違っていた (2017.8.7)
2003年、国立標準技術研究所(NIST)が公表した、強力なパスワードの作成に関するドキュメントにアドバイスを提供した Bill Burr氏は、「過去に行った多くのことを悔やんでいる」と語った。このアドバイスは、広く参照されたが、セキュリティにあまり貢献しなかっただけでなく、「利便性に対しては逆効果」であった。NISTは、新しいバージョンのドキュメントを公開しており、古いバージョンで言及していた、頻繁にパスワードを変更することや特殊文字、数字や大文字などを求めることなどを更新している。新しくなった SP800-63は全8ページで、簡単に覚えられる長いパスワードの利用を推奨しており、パスワードが不正利用された形跡があった場合のみ変更することを推奨している。過去のガイダンスが誤解を招いてしまったことについて、同氏は、パスワード利用の有効性と利便性を裏付ける経験的証拠が欲しかったのだが、見つけられなかったと説明している。

https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-m1-d-1502124118

【編集者メモ】(Pescatore)
2003年に公開されたパスワードに関する誤ったアドバイスを含んでいた SP800-63が、残念なことに Sarbanes Oxley 法案による無意味なIT監査において、パスワード変更回数が不十分な点に注力することを助長していた。我々は多くの証拠があったにも関わらず、パスワードを変更することにより、不要にヘルプデスクのコストが上がった一方で、パスワード変更に関する教育を原因とした不要なセキュリティ低下を招いていた。この新しいアドバイスの方が適切ではあるが、監査が変わるには時間がかかるだろう。
【編集者メモ】(Paller)
古いガイダンスが間違っていたことを NIST が認めたことは、NISTによる新しいアプローチの象徴だろう。今回のシフトチェンジを裏付ける別の動きとして、NISTのSecurity Framework 実装にあたってオーストラリアが公開している「Essential Eight」と 「Critical Security Controls」 の Top 5(どちらも酷似) のどちらでも、優先付けに活用して良いと認めていることである。Essential EightとTop 5のいずれも、どのような対策が既知の攻撃を阻止し、被害の拡大を防ぐかについて、経験的証拠に基づいて作成されている。
【編集者メモ】(Neely)
SP800-63 の更新では、パスワードマネージャの利用、64 文字までのパスワード利用、認証の(一定時間内)回数制限、そしてパスワードの変更は脅威がある場合において行うことが盛り込まれた。2003年に公開されたアドバイスは、1980年代に作成された文書を基に作成されたものだが、SP800-63B Section 5.1.1.2 を読んでいただきたい。アプリケーションにより64文字のパスワードをサポートするか、規制当局、あるいは監査人が誤ったパスワードの考え方から脱却した後に必要なコード変更のテストやロールアウトができるだろう。新しい標準では、下位互換のために 8文字パスワードの利用も許可していることを付け加えておく。

◆ NHSでのWannaCry感染はサイバー攻撃が患者管理に及ぼす影響を浮き彫りに(2017.6.8、8.3)
5月に英国 NHS のコンピュータシステムに影響を与えたランサムウエア WannaCryによる攻撃は、医療機関が「資金が不足している時代遅れのITシステム」に頼っている状況のリスクを浮き彫りにした。(Fierce Healthcareの記事は、有料会員向けのNew England Journal of Medicine の記事を参照しています)

http://www.fiercehealthcare.com/privacy-security/nhs-doctors-undeniably-dramatic-wannacry-attack-raises-stakes-for-healthcare
http://www.nejm.org/doi/full/10.1056/NEJMp1706754

◆ DoJが公開した企業向けの脆弱性情報公開のフレームワーク (2017.8.3)
米国司法省(DOJ) は、組織による正式な脆弱性公開プログラムの策定を支援するための企業向けフレームワークを公開した。このフレームワークは、DOJのCriminal Division(訳注:刑事課に相当) によって作成されたものである。

http://www.darkreading.com/vulnerabilities---threats/doj-launches-framework-for-vulnerability-disclosure-programs/d/d-id/1329514?
https://www.justice.gov/criminal-ccips/page/file/983996/download

【編集者メモ】(Pescatore)
この文書は 2014年に公開された ISO 29147 に記載されているものばかりである。さらに、DoJ の文書では、このアプローチを活用しても法的な後ろ盾にはならないとしている:「このガイダンスは、支援的なものであり、権威的なものでない。記載内容は、手続き権利や特権、また行政、民事、刑事的にも利益を得ることを目的としていない」。8 ページにおよぶ良い取りまとめではあるが、それ以外において使い道は無いのだ。
【編集者メモ】(Williams)
バグバウンティプログラムを運用するにあたって見落としがちなのは、多くのノイズが作られることであり、実際の攻撃がこのノイズに紛れて届くかもしれない、ということである。バグバウンティプログラム運用にあたって、セキュリティ監視に関連した追加情報は、以下にまとめられている。

https://www.renditioninfosec.com/2017/08/bug-bounty-considerations-security-monitoring/
【編集者メモ】(Honan)
アプリケーションセキュリティ全体の取り組みにおいて、この分野に関する明確なガイダンスが公開されたのは良い事である。しかし、バグバウンティプログラムは、セキュアコーディング、脅威のモデリング、ソースコード監査、単体テストや脆弱性監査などがあって始めて、有効に動くものである。

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 8月号「バックアップと復旧」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
パソコンやモバイルデバイスを使用していると、誤ってデータを削除してしまっ
たり、何かの拍子に故障して使えなくなってしまうことがあります。このような
時に、短時間で復旧できるのはバックアップしかありません。今月は、これらの
基本から解説するとともに、一般ユーザ向けに分かりやすく解説します。社員の
意識向上ツールとしてお使いください。
https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201708_jp.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ セキュアEggs「情報セキュリティの「たまご」を育てます!」
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 セキュアEgg シリーズは、これから情報セキュリティを本格的に学ぶ方を対象
 としたコース群で、文字どおり「たまご」の意味をもった基礎的な内容を網羅
 した研修プログラムです。ペンテスターやフォレンジックアナリスト、インシ
 デントハンドラーなどのエキスパートとして、情報セキュリティの最前線で活
 躍するために必要な基礎的スキルを演習中心に短時間で効果的に習得できるよ
 うに設計されています。
http://www.nri-secure.co.jp/service/learning/secureeggs.html

 システム開発や運用などの業務に携わる方々にとっても、情報セキュリティの
 要素をご自身のスキルに加えていただく絶好のカリキュラムです。通常パック
 の他にも、実践!サイバーセキュリティ演習 for Eggsもご用意しております。

 ・セキュアEggs(IT+セキュリティ基礎)
2017年9月14日(木)-15日(金) <好評受付中!>
2018年1月22日(月)-23日(火)

 ・セキュアEggs(フォレンジック)
2017年9月21日(木)
2018年1月25日(木)
 ・セキュアEggs(インシデント対応)
2017年9月20日(水)
2018年1月24日(水)
 ・セキュアEggs(Webアプリケーションセキュリティ)
2017年9月22日(金)
2018年1月26日(金)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ Hack the Air Forceバグバウンティプログラムの結果 (2017.8.10)
米国空軍(USAF)が始めて開催したバグバウンティプログラムは、13の一般向けに公開されているウェブサイトの中で 207個の脆弱性が発見されたという。このプログラムは、米国、カナダ、イギリス、オーストラリアとニュージーランドに参加資格が与えられ、合計で272人が参加している。

http://www.nextgov.com/cybersecurity/2017/08/17-year-old-hacks-air-force-biggest-bug-bounty/140153/?oref=ng-channelriver
http://www.fifthdomain.com/dod/air-force/2017/08/10/hackers-discover-hundreds-of-vulnerabilities-in-air-force-domains/
http://thehill.com/policy/cybersecurity/346016-hack-the-air-force-challenge-most-successful-military-bug-bounty-yet

【編集者メモ】(Pescatore)
全ての軍事サービスは、適切に管理されたバグバウンティプログラムの価値を見出した。次のマイルストーンは、「コードを一般公開、または運用しているシステムに実装する前に、バグバウンティプログラムの対象にする」ことである。さらに言えば、技術力と予算が許せば、セキュリティ開発ライフサイクル (SDL)の過程で、アプリケーションに対する脆弱性テストを行うのも良いだろう -これは、購入するソフトウエアも同様である。このアプローチにより、投資額の回収を早めるだけでなく、市場への公開も結果的に早めることが可能である。

◆ SAPが19個の脆弱性に対応したパッチを公開 (2017.8.8,9)
SAPは、提供しているビジネス管理ソフトウエアに含まれていた 19個の脆弱性に対応したパッチを公開した。この中で 3つの脆弱性は、深刻度を「高」と評価している。

https://threatpost.com/sap-patch-tuesday-update-resolves-19-flaws-three-high-severity/127357/
http://www.theregister.co.uk/2017/08/09/sap_crm_vuln/
https://blogs.sap.com/2017/08/08/sap-security-patch-day-august-2017/

◆ マイクロソフトの月例パッチ (2017.8.9,9)
8月8日にマイクロソフトは、提供している様々な製品に対して、合計48個の脆弱性を修正したパッチを公開した。うち25個の脆弱性には、深刻度を「高」と評価している。うち 2つの脆弱性は、現在サポートされている全てのバージョンの Windowsに影響を及ぼすものである。

https://threatpost.com/microsoft-patches-critical-windows-search-vulnerability/127303/
http://www.zdnet.com/article/critical-security-bugs-affect-all-windows-versions/
http://www.darkreading.com/vulnerabilities---threats/microsoft-fixes-27-remote-code-execution-flaws/d/d-id/1329596?
https://portal.msrc.microsoft.com/en-us/security-guidance

◆ AdobeがAcrobat、ReaderおよびFlash向けのパッチ公開 (2017.8.9)
Adobeは、AcrobatとAcrobat Readerに含まれる脆弱性のアップデートを公開した。これらの脆弱性を悪用すると、システムを乗っ取ることが可能であった。Acrobatおよび Acrobat Readerのアップデートは、Windowsと Mac向けに提供されている。
また、同時に Flashのアップデートも提供されており、過去のパッチにて対策が不十分な脆弱性に対応している。Flash のアップデートは、Windows、Mac、Linux および Chrome OS 向けに提供されている。

http://krebsonsecurity.com/2017/08/critical-security-fixes-from-adobe-microsoft-2/
http://www.zdnet.com/article/adobe-patches-security-flaws-in-adobe-acrobat-and-reader/
https://threatpost.com/patched-flash-player-sandbox-escape-leaked-windows-credentials/127378/
https://helpx.adobe.com/security/products/acrobat/apsb17-24.html
https://helpx.adobe.com/security/products/flash-player/apsb17-23.html

◆ ロシアのスパイグループが欧州のホテルを訪れる欧米人を標的に (2017.8.11)
ロシアのスパイグループが、ヨーロッパにあるホテルの Wi-Fiネットワークに対して攻撃を行い、ビジネスや政府関連の業務で訪れている客のアカウント情報の搾取を試みたという。FireEyeによると、7月上旬に APT28と呼ばれるスパイグループがこの一連の攻撃を行ったとしている。攻撃者は、スピアフィッシングによりホテルの宿泊客を騙し、感染しているホテルの予約に関する文書をダウンロードさせていた。

http://www.reuters.com/article/us-cyber-hotels-idUSKBN1AR1IZ

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■┃申込受付中の無料セミナー・イベント        <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○8月23日(水)
 分離・無害化技術によりマルウェアを100%防御する方法
 ~ランサムウェアが添付されたメールを躊躇なく開き、
  危険なWebサイトを自由に閲覧できるソリューションとは~
https://www.nri-secure.co.jp/seminar/2017/isolation01.html?xmid=300&xlinkid=01

○8月24日(木)
 ファイル交換・転送サービスの正しい選び方
 ~クラウドで業務効率・利便性とセキュリティを両立させるには~
https://www.nri-secure.co.jp/seminar/2017/file01.html?xmid=300&xlinkid=02

○8月29日(火)
 SANSコミュニティナイトセッション「最新の攻撃動向とその防御手法」
 - Cutting Edge Web Attacks:HTTP/2 WebSockets and Meteor -
https://www.nri-secure.co.jp/seminar/2017/sans04.html?xmid=300&xlinkid=03

○8月30日(水)
 セキュリティ専門家が考えるID共通化・API公開の安全策
 ~コンシューマサービスが無視できない不正利用対策と認証連携~
https://www.nri-secure.co.jp/seminar/2017/ciam02.html?xmid=300&xlinkid=04

○8月30日(水)
 次世代テクノロジーで実現するサイバー攻撃対策セミナー
 ~ 多層防御・AI検知・インシデント自動分析 ~
https://www.nri-secure.co.jp/seminar/2017/0830.html?xmid=300&xlinkid=05

○9月7日(木)
 標的型メール攻撃から自社を守る具体的手段とは
 ~実際の攻撃防御をProofpointの実機で体験~
https://www.nri-secure.co.jp/seminar/2017/proofpoint02.html?xmid=300&xlinkid=06

○9月8日(金)
 事例から学ぶ特権ID・監査ログ管理実践セミナー
 ~今、求められるアクセス管理を短期間・低コストで実現する方法とは~
https://www.nri-secure.co.jp/seminar/2017/ac03.html?xmid=300&xlinkid=07

○9月14日(木)
 サイバーセキュリティ2017:
 独自調査レポートから見るサイバーセキュリティ最新動向
 ~拡大するリスク、増え続ける課題、求められる対策~
https://www.nri-secure.co.jp/seminar/2017/0914.html?xmid=300&xlinkid=08

○9月14日(木)、10月18日(水)
 場当たり的なセキュリティ対策からの脱却
 ~個別最適から全体最適への変換~
https://www.nri-secure.co.jp/seminar/2017/optimization01.html?xmid=300&xlinkid=09

○9月27日(水)
 100万枚以上の紙文書どう管理しますか?文書管理を効率化する方法とは
 ~業界トップ企業採用の文書管理システムをご紹介~
https://www.nri-secure.co.jp/seminar/2017/doc02.html?xmid=300&xlinkid=10

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃独自調査資料 無料ダウンロード       <NRIセキュア>
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○サイバーセキュリティ:傾向分析レポート2017
https://www.nri-secure.co.jp/security/report/2017/cstar.html?xmid=300&xlinkid=11


NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter/

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希望された方、SANS関連のイベントに参加された方、その他イベント等において弊社講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご連絡先も記載のうえ、info@sans-japan.jpまでご返信をお願い致します。なお、情報の反映までにお時間を頂戴する場合がございます。